L’ordinamento non consente il trattamento dei dati biometrici dei dipendenti per rilevare la loro presenza in servizio. Meglio, quindi, non confondere le esigenze di precisione organizzativa con modalità di trattamento dei dati troppo invasive.
Lo ha chiarito il Garante per la protezione dei dati personali con la decisione n. 112 del 26 febbraio 2026, che ha sanzionato una cooperativa sociale che aveva installato due dispositivi biometrici in ambienti comunali per rilevare ingressi e uscite di sei dipendenti addetti a servizi di pulizia e manutenzione . L’Autorità ha ricostruito un trattamento fondato esclusivamente su esigenze di praticità interna e di maggiore certezza nella rendicontazione delle ore lavorate , pur in presenza di un tradizionale sistema di timbratura già operativo accanto ai rilevatori biometrici. Proprio tale circostanza ha reso ancora più evidente, secondo il Garante, il difetto di proporzionalità dell’intero impianto organizzativo. Il dato biometrico , appartenendo alle categorie particolari di dati personali, non può essere impiegato nel normale rapporto di lavoro ogni volta che l’obiettivo perseguito sia raggiungibile con strumenti meno invasivi . Nel provvedimento viene richiamato in modo netto l’articolo 9 del GDPR, ricordando che il trattamento di impronte digitali in ambito lavorativo resta possibile solo in presenza di una specifica previsione normativa o contrattuale che lo autorizzi e di adeguate garanzie per gli interessati . Nel caso concreto, invece, la cooperativa aveva semplicemente memorizzato le impronte dei lavoratori per confrontarle quotidianamente all’atto dell’accesso, senza alcuna cornice giuridica idonea e senza dimostrare situazioni particolari di sicurezza, accesso ad aree sensibili o esigenze organizzative straordinarie. Il provvedimento assume particolare rilievo anche perché ribadisce un orientamento ormai consolidato dell’Autorità. La mera volontà datoriale di ottenere un controllo più preciso sugli orari di servizio non è sufficiente a giustificare il ricorso a tecnologie biometriche . La presenza di un badge tradizionale già funzionante, richiamata nella motivazione, dimostra infatti che l’obiettivo organizzativo poteva essere pienamente perseguito con strumenti ordinari, meno invasivi e già compatibili con il principio di minimizzazione previsto dall’articolo 5 del GDPR. Il Garante ricorda inoltre che il trattamento biometrico non si esaurisce nel momento della rilevazione quotidiana dell’accesso, ma inizia già nella fase di acquisizione iniziale dell’impronta digitale , cioè nel momento in cui il dato viene registrato e associato al singolo lavoratore per consentirne il successivo confronto automatico. Proprio questa fase, secondo la ricostruzione dell’Autorità, integra pienamente un trattamento di categorie particolari di dati e richiede quindi il massimo livello di garanzie giuridiche e organizzative. Sotto il profilo documentale emerge un ulteriore elemento critico. La cooperativa ha ammesso di non avere predisposto alcuna valutazione d’impatto prima dell’attivazione del sistema e di non essersi ancora dotata di un adeguato supporto consulenziale privacy, pur trattando dati ad elevata sensibilità. L’assenza della DPIA viene quindi letta non come omissione formale, ma come indice di un approccio organizzativo non conforme al principio di responsabilizzazione , che nel GDPR impone al titolare di verificare ex ante i rischi del trattamento e di dimostrare la sostenibilità delle proprie scelte tecnologiche. Non meno rilevante è il passaggio relativo all’informazione resa ai dipendenti. La semplice comunicazione orale dell’esistenza del rilevatore biometrico è stata giudicata del tutto insufficiente , in quanto il lavoratore deve conoscere preventivamente finalità, base giuridica, tempi di conservazione e diritti esercitabili. In ambito lavorativo, infatti, la trasparenza assume un peso ancora maggiore proprio perché il rapporto tra datore e dipendente non consente di fondare il trattamento su un consenso realmente libero. L’esito è stato il divieto di proseguire il trattamento , l’ordine di cancellazione dei dati biometrici entro sessanta giorni e una sanzione amministrativa di 15 mila euro.